Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kein Zugriff trotz Ordnerfreigabe

Frage Microsoft Windows Server

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

18.01.2010 um 15:23 Uhr, 28646 Aufrufe, 20 Kommentare

Hallo,

ich habe in einer Freigabe auf Server 2003 einen Unterordner angelegt. Für diesen Unterordner habe ich für Benutzer DINGS die NTFS-Berechtigung "Vollzugriff" gesetzt, trotzdem hat der Benutzer DINGS keine Schreibrechte. Die Rechte sind über die Freigabe vererbt, habe aber auch schon testweise die Vererbung für den Unterordner aufgehoben. Alles ohne Erfolg, DINGS darf lesen, aber nicht schreiben. Eine widersprechende Verweigerung, die dem Ganzen im Wege steht, kann ich nicht erkennen.

Bin ziemlich ratlos, hat jemand eine Idee?
Mitglied: ErdNageL
18.01.2010 um 15:35 Uhr
Der Benutzer DINGS muss über die Eigenschaften des Ordners auch unter dem Reiter SICHERHEIT freigegeben werden.
Also zweimal! Einmal unter Freigabe und einmal unter Sicherheit.

Eventuell funktioniert der Zugriff immer noch nicht, da Ihr freizugebender Ordner Berechtigungen eines Übergeordneten Ordners
übernimmt und Ihre Einstellungen überschreibt.
In diesem Fall müssen Sie ihrem Ordner unter dem Reiter Sicherheit ->Erweitert die Übernahme der
übergeordneten berechtigungen verbieten bzw. neu setzen.

tschö
ErdNageL
Bitte warten ..
Mitglied: Coreknabe
18.01.2010 um 15:51 Uhr
Hallo und danke,

alles schon probiert, geht aber trotzdem nicht.
Bitte warten ..
Mitglied: ErdNageL
18.01.2010 um 16:03 Uhr
Leider können Sie noch nicht alles probiert haben, da es ja ansonsten funktionieren würde.

Alle 2003 und SBS Server auf denen ich die Ordner freigegeben habe,
machen dieses wunderbar. Domänenbenutzer können ohne Probleme LESEN und SCHREIBEN.
Wir reden doch von einer Windows Domäne, oder?!

Tschö
ErdNagel
Bitte warten ..
Mitglied: dog
18.01.2010 um 17:26 Uhr
Freigabeberechtigungen:

Dort darf nur ganz genau ein Eintrag vorhanden sein:

Jeder: Lesen/Ändern

Nichts anderes!!

Danach kannst du die Sicherheitseinstellungen richtig einstellen, bedenke aber immer eins: Verbote gehen immer über Erlaubnisse.
Bitte warten ..
Mitglied: Coreknabe
18.01.2010 um 17:34 Uhr
Hi dog,

mal wieder derselbe blöde Fehler meinerseits... Vielen Dank Dir!
Bitte warten ..
Mitglied: DerWoWusste
18.01.2010 um 20:43 Uhr
Hi dog.
Dort darf nur ganz genau ein Eintrag vorhanden sein:...
wieso das? Und wo bleiben die Admins? Oder sollen die die Rechte nicht von remote ändern können?
Ich denke, der Standard ist admins voll und user lesen bzw. bei Bedarf ändern.
Ich schreib das nur, weil das "darf" auch missverstanden werden kann, wenn man's wörtlich nimmt.
Bitte warten ..
Mitglied: dog
18.01.2010 um 21:32 Uhr
Das "darf" sagt meine Erfahrung.
Die Freigabeberechtigungen sind eine NT-Krücke, die M$ wie so oft nicht los wird (werden will).
Dabei habe ich die Erfahrung gemacht, dass die Freigabeberechtigung "Vollzugriff" ungeahnte Effekte haben kann - vor allem solche, die sich auch per "Effektive Berechtigungen" nicht erklären lassen!

Die Admins, sowie alle anderen Benutzer sollten nur über die Sicherheitsberechtigungen verwaltet werden, so hat man die Freigabeberechtigungen so weit wie möglich aus der Gleichung draußen.

Abgesehen davon ist das "Vollzugriff" recht für Admins in den Freigabeberechtigungen nicht notwendig, es reicht wenn es in den Sicherheitsberechtigungen gemacht wird (auch Erfahrung).

Grüße

Max
Bitte warten ..
Mitglied: DerWoWusste
18.01.2010 um 22:59 Uhr
Dabei habe ich die Erfahrung gemacht, dass die Freigabeberechtigung "Vollzugriff" ungeahnte Effekte haben kann
Kann ich Dir erklären. Wer in den Freigabeberechtigungen Vollzugriff hat, darf Rechte ändern und (ggf. erneut) den Besitz übernehmen bei Ordnern, dessen Besitzer (/Ersteller) er ist - ungeachtet jeglicher NTFS-Rechte (ebenso ungeachtet von expliziten Verboten). Das ist die einzige Ausnahme (die MS leider auch zum Teil falsch dokumentiert) zur ansonsten korrekten Regel: "bei NTFS- und Freigabeberechtigungen wird das Restriktivere angewendet".
Deshalb sollte man nur den Admins Vollzugriff in den Freigabeberechtigeungen geben, anderen maximal ändern. Weitere Rechte natürlich über NTFS. Und ja, ich gebe Dir Recht, auch die "effektiven Berechtigungen" werden in diesem Fall inkorrekt angezeigt.
In Kürze: ein Admin, der Vollzugriff an alle in den Freigabeberechtigungen vergibt kann nicht verhindern, dass Benutzer auf selbst erstellten Dateien oder Ordnern die Rechte nach Ihrem Gusto verstellen.

Aber "darf nur ganz genau ein Eintrag" ist verkehrt. ;)
Bitte warten ..
Mitglied: dog
18.01.2010 um 23:21 Uhr
In Kürze: ein Admin, der Vollzugriff an alle in den Freigabeberechtigungen vergibt kann nicht verhindern, dass Benutzer auf selbst erstellten Dateien oder Ordnern die Rechte nach Ihrem Gusto verstellen.

Das war es glaub ich.

Deshalb sollte man nur den Admins Vollzugriff in den Freigabeberechtigeungen geben

Ich habe es vorhin nochmal ausprobiert: Als Admin reicht mir schon das Jeder Lesen/Ändern Recht um alles außer den Freigabeberechtigungen remote ändern zu können.
Wo siehst du da dein Problem?

Grüße

Max
Bitte warten ..
Mitglied: DerWoWusste
18.01.2010 um 23:28 Uhr
Moment... Wie änderst Du denn remote? gehst Du über d$ rein? Auf der Freigabe selbst wird das nichts, das garantiere ich Dir.
Edit - oder garantier ich das besser doch nicht - hmm, was kommt denn hier zum Tragen? Vermutlich wird ausgenutzt, dass ein Admin immer und zu jeder Zeit den Besitz ändern kann. Du hast Recht, es reicht, ändern für alle zu vergeben.
Bitte warten ..
Mitglied: dog
19.01.2010 um 00:11 Uhr
Nein, ich habe direkt die Einstellungen der Freigabe verändert.
Guckst du hier:

a42b6f1de241913885884cbdab8dc41a - Klicke auf das Bild, um es zu vergrößern

Den zweiten Benutzer habe ich Remote angelegt.
Und selbst wenn ich Remote die "Administratoren"-Gruppe lösche und mir damit den Zugriff entziehe kann ich die danach einfach wieder neu hinzufügen.

<edit>Ups, da warst du schneller als mein Internet </edit>
Bitte warten ..
Mitglied: ErdNageL
19.01.2010 um 08:06 Uhr
@dog

was Sie da machen ist eher fahrlässig und das mit den Berechtigungen haben Sie wohl nicht verstanden.
Wenn diesen Thread jemand liest der wenig Erfahrung mit Freigaben auf Servern hat, dann wird er sich
nach einiger zeit einen Strick nehmen.

Es gibt hervorragende Literatur (Das Sind Fachbücher) zu diesem Thema.

ErdNageL
Bitte warten ..
Mitglied: dog
19.01.2010 um 09:29 Uhr
ErdNagel,

ich und alle anderen hier würden es bevorzugen, wenn du die "Du"-Form benutzt, wie es hier üblich ist.

2. Wenn ich es schon falsch mache, dann erkläre mir auch wie man es richtig macht, so hilft dein Kommentar nämlich niemandem...
Bitte warten ..
Mitglied: Coreknabe
19.01.2010 um 09:47 Uhr
Schön, dass ich noch zur Diskussion anregen konnte. Was Herrn Erdnagel angeht, hat dieser scheinbar eine sich mir nicht erschliessende Form von Humor.
Bitte warten ..
Mitglied: ErdNageL
19.01.2010 um 10:19 Uhr
Kein Problem,

Ordnerfreigaben auf einem Windows 2003 Server konfogurieren

Quellangabe: Windows Server2003 Expertentipps (Microsoft Press)

Zitatanfang:
Da Freigaben eine Grundlage der Bereitstellung von Ressourcen im Netzwerk darstellen, sollten Sie berücksichtigen,
dass bei Windows Server2003 neu erstellte freigaben in der Standardeinstellung nur Leseberechtigung für die Gruppe Jeder besitzen.
Damit Anwender auf freigegebene Ressourcen auch schreibend zugreifen können, müssen Sie der Gruppe Jeder oder alternativ einer Gruppe, der die benutzer angehören, mindestens die Berechtigung zum Ändern geben. Empfehlung ist in der Regel die Berechtigung Vollzugriff für die Freigabe
zu erteilen und die Einschränkung der Berechtigungen exklusiv auf Dateisystemebene vorzunehmen. Auf diese weise wird sichergestellt, dass die NTFS Berechtigungen unverfälscht gelten.
Zitatende

1. Beispiel mit Zugriff für alle User
Bei einer Ordnerfreigabe hat sich folgende Vorgehensweise bewährt:

1. Klick mit der rechten Maustaste auf den freizugebenden Ordner
2. Diesen Ordner freigeben auswählen und einen passenden Freigabename wählen
3. Auf Berechtigung klicken
4. Wenn wirkliche alle Zugriff haben sollen, dann hier bei Jeder das Häkchen auf VOLLZUGRIFF ändern
5. Mit Übernehmen und OK bestätigen
6. Auf Sicherheit klicken
7. Auf hinzufügen klicken
8. Erweitert und Jetzt suchen anklicken
9. jeder aussuchen (oder alle Domänenbenutzer) und bestätigen
10. Jeder bekommt auch hier Vollzugriff
11. Weiterhin muss unter Sicherheit noch der
- Administrator
- Ersteller Besitzer
- SYSTEM (wird oft vergessen und dann gibts mächtig Probleme)

Beispiel 2 mit Zugriff NUR für bestimmte Domänenbenutzer:

1. Die ersten Schritte wie oben
2. Bei der Freigabebrechtigung wird hier allerdings nicht JEDER sondern explizit
auf Domänenbenutzer oder sogar die betreffenden Usernamen eingeschränkt
und die Berechtigung auf Vollzugriff gesetzt.
3. JEDER wird entfernt
4. Mit Übernehmen und OK bestätigen
5. Karteireiter Sicherheit aufrufen
6. Über hinzufügen die einzelnen User hinzufügen und VOLLZUGRIFF gewähren
7. Administrator, Ersteller Besitzer und SYSTEM müssen hier drin bleiben
8. Benutzer wird entfernt
9. Alle offenen Fenster bestätigen und die Freigabe testen. Neustart ist nicht nötig

Troubleshooting:
Die Berechtigung oder die Freigabe des Ordners funktioniert dennoch nicht!

Kein problem
1. Mit der rechten Maustaste in die eigenschaften des Ordners gehen
2. Karteireiter SICHERHEIT aufrufen und unten auf ERWEITERT klicken
3. Entfernt hier bitte das Häkchen bei Berechtigungen übergeordneter Objekte, sofern vererbbar, über .......
4. Im sich öffnenden Fenster entfernen auswählen
5. Auf hinzufügen klicken
6. Administrator, SYSTEM und die einzelnen USER hinzufügen mit VOLLZUGRIFF für den ADMIN und die USER
7. Unten das Häkchen setzen bei "Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge......................setzen

8. Übernehmen und mit OK bestätigen
9. Freigabe testen

Tschö
ErdNageL
Bitte warten ..
Mitglied: dog
19.01.2010 um 10:28 Uhr
Hättest du die Diskussion zwischen DerWoWusste und mir verfolgt, hättest du gesehen, dass das Freigaberecht "Vollzugriff" niemals gesetzt werden sollte, weil einem sonst die Benutzer auf der Nase rumtanzen können und man es nicht nachvollziehen kann.

Desweitern hat DerWoWusste die 2. Grundregel von Freigaben auch korrekt erwähnt: "bei NTFS- und Freigabeberechtigungen wird das Restriktivere angewendet".

Anders ausgedrückt:
Bei der Freigabebrechtigung wird hier allerdings nicht JEDER sondern explizit auf Domänenbenutzer oder sogar die betreffenden Usernamen eingeschränkt und die Berechtigung auf Vollzugriff gesetzt.

Dieser Absatz ist Mist, denn auch wenn "Jeder" in den Freigaberechten drin steht gelten nur die NTFS-Rechte.
Es reicht also vollkommen aus (Nein, es ist sogar besser!) wenn die Zugriffskontrolle nur über die NTFS-Rechte gemacht wird. (übrigens stimmt da das Zitat von M$ Press mit mir überein)

Und die 3. Regel von Shares habe ich auch bereits erwähnt: Freigaberechte sind legacy und sollten so weit wie möglich rausgehalten werden.
Je mehr man sie benutzt, je mehr Chaos und Kopfschmerzen richtet man an!
Bitte warten ..
Mitglied: ErdNageL
19.01.2010 um 10:40 Uhr
Mein Absatz der Mist ist, steht exakt so in einigen Fachbüchern.
Ich praktiziere dieses auf etliche 2003 Servern.
Ich habe keine Probleme mit Anwendern "die mir auf Nase rumtanzen" um deine Worte zu benutzen.
Desweiteren hast weder Du noch DerWoWusste das Problem von Coreknabe lösen können.

ErdNageL
Bitte warten ..
Mitglied: Coreknabe
19.01.2010 um 10:57 Uhr
Auweia,

wahrscheinlich bin auch ich neben allen außer Erdnagel zu blöd, um die Sinnhaftigkeit zu verstehen... Aus meiner Sicht hat Dog mein Problem sehr wohl gelöst...

Vielleicht findet sich ja auch ein Admin, der diesen Thread jetzt dicht macht, da zuletzt nur noch gebasht und bessergewusst wurde...
Bitte warten ..
Mitglied: dog
19.01.2010 um 11:00 Uhr
Mein Absatz der Mist ist, steht exakt so in einigen Fachbüchern.

und die Einschränkung der Berechtigungen exklusiv auf Dateisystemebene vorzunehmen. Auf diese weise wird sichergestellt, dass die NTFS Berechtigungen unverfälscht gelten.
(Dein Zitat)

Ich habe keine Probleme mit Anwendern "die mir auf Nase rumtanzen" um deine Worte zu benutzen.

Wahrscheinlich weil du keine "destruktiven" Anwender hast.
Das ist bei mir etwas anders. Hier versucht jeder mich zu sabotieren, wie es nur geht und eben genau das Problem mit dem Vollzugriff hatte ich schon.

Desweiteren hast weder Du noch DerWoWusste das Problem von Coreknabe lösen können.

Hi dog,
mal wieder derselbe blöde Fehler meinerseits... Vielen Dank Dir!

Grüße

Max
Bitte warten ..
Mitglied: Ftmmsch
23.01.2011 um 15:48 Uhr
Jedenfalls versuche ICH gerade anhand Erdnagels Tip, wieder VOLLEN Zugriff auf mein zuvor mit XP-Home gesicherten Daten zu erlangen.
Offensichtlich ist das mit XP-Professional gar nicht so einfach.... Hoffentlich funktioniert das Ganze - es werden seit einiger Zeit wohl hundertausende von Berechtigungen neu gesetzt... Wenn#s dann geht - OK.
Was mir allerdings Kopfschmerzen bereitet, ist die Tatsache, dass ich nicht weiß, wie nun zukünftige Sicherungen behandelt werden.

Vor allem aber: Wie sieht es zukünftig mit vollständigen Sicherungen des Systems aus? - ist es überhaupt möglich z.B. von der NAS über LAN zu booten?

Oder hängt sich später Alles auf, weil der Jenige einige Einstellungen der Sicherheits-Regeln nicht kannte, falsch interpretiert oder gar nicht berücksichtigt hat?


Da werde ich wohl mal einen Kurs besuchen nüssen... - leider sehe ich da nicht allzu vile Chancen, weil ich vor Jahren am eigenen Leibe zu spüren bekam, wie es in Deutschland um das "Bildungswesen" bzw. dessen "Qualität" bestellt ist. Daher habe ich schon Einiges, was ich selber finanzieren wollte, wieder verworfen.
Weil es sehr schmerzlich ist, immer wieder Negatives (leider ohne Ende) zu erfahren.

Falls jemand von euch dennoch einen guten Tip geben kann, wo und wer gut und zuverlässig ist - nur her damit.




Ich weiß nicht, wieviele Stunden er die Rechte noch neu setzen will.... - darf man das Ganze abbrechen?

Vermutlich habe ich nun schlicht gemurkst.... Habe alle rausgeschmissen, "Jeder" reingesetzt und die Berechtigungen geändert.....

Wahrscheinlich hätte ich Admin usw. reinsetzen müssen - wenn man aber tagelang daran herumbastelt, ist man es irgendwann leid, keinen Vollzugriff auf die eigenen Daten zu bekommen.

Da sich nun offensichtlich was tut, wäre es schön zu wissen, ob meine Änderungen auf "Jeder" evtl. die Ursache für das stundenlange ändern der Rechte ist oder ob es bei admin etc. genau so lange dauert...


Da fällt mir gerade schon wieder was ein:
Wie ist das nun mit zukünftigen Sicherungen/Änderungen/Synchronisierungen? - haut mir XP-Prof mit z.B. "SyncToy 2.1" wieder andere Berechtigungen rein? - wenn ich auf die NAS drauf spiele?....

Oder macht das Synchronisieren mit z.B. "SyncToy 2.1" sowieso Probleme? - weil XP-Prof evtl. andere Einstellungen hat als die nun auf der NAS? (ich werd noch irre


Wieso kann man eigentlich (falls es später gehen sollte) in den "Berechtigngen" etwas ändern, obwohl bei den vorigen Versuchen bei "Besitzer" etwas zu ändern - Zugriff verweigert wird?

Hoffentlich vermurkse ich mir jetzt nicht die ganzen Ordner auf der NAS....
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...